ブログ(脅威調査)

高度な回避性技術を持つ攻撃者が、SUNBURSTバックドアにより SolarWindsのサプライチェーンを悪用して複数のグローバルな侵入キャンペーンを展開

要旨

  • 私たちはグローバル侵入キャンペーンを発見しました。私たちはこのキャンペーンをUNC2452として、背後にあるアクターを追跡しています。
  • FireEyeは、SUNBURSTと呼ばれるマルウェアを配布するため、SolarWinds社 Orionビジネスソフトウェアのアップデートを妨害するサプライチェーン攻撃を発見しました。
  • 攻撃者の侵害後の活動は、検知を回避し活動を不明瞭にするために、複数のテクニックを利用しますが、これが検知の機会にもなります。
  • このキャンペーンは広範囲に及んでおり、世界中の公的機関や民間団体に影響を及ぼしています。
  • FireEyeは、この攻撃グループとサプライチェーン攻撃をそのまま検知するためにシグネチャを公開しています。これらはGitHubの公開ページにあります。FireEyeの製品およびサービスは、お客様がこの攻撃を検知して遮断するのに役立ちます。

要約

FireEyeは、UNC2452として追跡している広範なキャンペーンを明らかにしました。このキャンペーンの背後にいる関係者は、世界中の多くの公的・民間団体にアクセスしました。彼らは、トロイの木馬化させたアップデートを通じてSolarWindsのOrion IT監視・管理ソフトウェアへのアクセス被害を増やしました。このキャンペーンは、早くとも2020年春より開始されており、現在も進行中である可能性があります。このサプライチェーン侵害後の活動には、水平展開とデータ窃取が含まれています。キャンペーンは高度なスキルを持つアクターの作業であり、高度なセキュリティオペレーションに基づき実行されています。

SUNBURSTバックドア

SolarWinds.Orion.Core.BusinessLayer.dllは、Orionソフトウェア・フレームワークのSolarWindsデジタル署名コンポーネントで、サードパーティ・サーバーとHTTP経由で通信するバックドアが含まれています。当社は、このトロイの木馬化したSolarWinds OrionプラグインをSUNBURSTとして追跡しています。

最大2週間の最初の休止期間後、ファイルの転送、ファイルの実行、システムのプロファイル、マシンの再起動、システムサービスの無効化などの「ジョブ」と呼ばれるコマンドを取得して実行します。マルウェアは、そのネットワーク・トラフィックをOrion Improvement Program(OIP)プロトコルに偽装し、調査結果を正規プラグイン設定ファイル内に保存して、正規のSolarWinds活動と融合できるようにします。バックドアは、複数の難読化ブロックリストを使用して、プロセス、サービス、およびドライバとして実行されているフォレンジック・ツールとアンチウイルス・ツールを識別します。


図1:バックドア付きソフトウェアのSolarWindsデジタル署名

複数のトロイの木馬化したアップデートが2020年3月~5月にデジタル署名され、以下を含むSolarWinds更新ウェブサイトに掲載されました:

  • hxxps://downloads.solarwinds[.]com/solarwinds/CatalogResources/Core/2019.4/2019.4.5220.20574/SolarWinds-Core-v2019.4.5220-Hotfix5.msp

トロイの木馬化したアップデート・ファイルは、SolarWinds.Orion.Core.BusinessLayer.dll componentを含むアップデートに関連付けられた圧縮リソースを含む標準のWindowsインストーラ・パッチファイルです。アップデートがインストールされると、正規のSolarWinds実行ファイルSolarWind.BusinessLayerHost.exeまたはSolarWindws.BusinessLayerHostx64.exe(システム構成による)によって悪意のあるDLLがロードされます。最大2週間の休止期間が経過すると、マルウェアはavsvmcloud[.]comのサブドメインの解決を試みます。DNS対応は、そのポイントをコマンド及び制御(C2) ドメインに戻すCNAMEレコードを返します。悪意のあるドメインへのC2トラフィックは、通常のSolarWinds APIコミュニケーションを模倣するように設計されています。既知の悪意のあるインフラストラクチャの一覧は、FireEyeのGitHubページから参照できます。

世界規模で急増する侵害

FireEyeは世界中でこの活動を複数検出しました。被害者には、北米、ヨーロッパ、アジア、中東の政府、コンサルティング、技術、電気通信、抽出の各機関が含まれています。私たちは、他の国にもさらに被害者が増えることを予測しています。FireEyeは、影響を認識しているすべての関係者に通知をしました。

侵害後の活動と検知の機会

現在、ソフトウェア・サプライチェーンの侵害および関連する侵入後の活動をUNC2452として追跡しています。このグループは、初期アクセスを得た後、さまざまなテクニックを使用して、水平展開しながら操作を偽装します。このアクターは、被害者の環境へのアクセスのために正規認証情報とリモートアクセスを優先する代わりに、軽度なマルウェア・フットプリントを維持することを好みます。ここでは、注目すべき技術のいくつかを詳述し、潜在的な検知の機会について概説します。

使用されたTEARDROPおよびBEACONマルウェア

複数のSUNBURSTサンプルが復元され、異なるペイロードが提供されました。少なくとも1つのインスタンスで、攻撃者が以前に未知のメモリのみのドロッパーをデプロイし、Cobalt Strike BEACONをデプロイしました。

TEARDROPは、サービスとして実行されるメモリのみのドロッパーで、スレッドをスポーンし、ファイル"gracious_truth.jpg"から読み取ります。これには、偽のJPGヘッダーが含まれている可能性があります。次に、HKU\SOFTWARE\Microsoft\CTFの存在を確認し、カスタム・ローリングXORアルゴリズムを使用して埋め込みペイロードをデコードし、カスタムPEのようなファイル形式を使用して埋め込みペイロードに手動で読み込ませます。TEARDROPには、以前に見つかったマルウェアと重複するコードはありません。カスタマイズされたCobalt Strike BEACONが実行されたと考えています。

緩和:FireEyeは、GitHubで利用可能なTEARDROPを検知するために2つのYaraルールを提供しています。防御者は、FireEye HX のMalwareGuardおよびWindowsDefenderから次のアラートを探す必要があります:

プロセス情報

file_operation_closed
file-path*: “c:\\windows\\syswow64\\netsetupsvc.dll
actor-process:
pid: 17900

Window’s defender Exploit Guard log entries: (Microsoft-Windows-Security-Mitigations/KernelMode event ID 12)           

Process”\Device\HarddiskVolume2\Windows\System32\svchost.exe” (PID XXXXX) would have been blocked from loading the non-Microsoft-signed binary
‘\Windows\SysWOW64\NetSetupSvc.dll’

攻撃者のホスト名が被害者環境と一致

攻撃者アクターは、被害者の環境内で見つかった正規のホスト名と一致するように、コマンドおよび制御インフラストラクチャにホスト名を設定します。これにより、攻撃者は環境に入り込み、疑いを避け、検知を回避します。

検知の機会

攻撃者インフラストラクチャは、インターネット全体のスキャンデータで識別可能なRDP SSL証明書で設定されたホスト名を漏洩させます。これが検知の機会になります。組織のホスト名についてインターネット全体のスキャンデータソースを照会すると、組織として偽装している悪意のあるIPアドレスを発見することができます。(注記: IP検索履歴では、しばしばデフォルト (WIN-*) ホスト名と被害者のホスト名の間でIP切り替えが表示されます) インターネット・スキャンデータで識別されるIPの一覧をリモートアクセスログで相互参照すると、環境内のこのアクターの証拠が識別される場合があります。IPアドレスごとに1つのアカウントが存在する可能性があります。

被害者の国にあるIPアドレス

攻撃者が選択したIPアドレスも、検知を回避するために最適化されました。攻撃者は、仮想プライベートサーバを利用して、被害者と同じ国から発信されたIPアドレスのみを主に使用しました。

検知の機会

また、侵害されたアカウントが正当なユーザーと攻撃者によって使用されている時、利用されている地理的なIPアドレスが移動可能な範囲外を指す場合には、検知の機会となりえます。攻撃者はVPSプロバイダーごとに複数のIPアドレスを使用したため、異常なASNからの悪意のあるログインが特定されると、そのASNからのすべてのログインを確認し、さらなる悪意のある行為の検出に役立ちます。これは、不審な活動の特定に役立つ正当なリモートアクセスに使用されるASNのベースライン化と正規化と一緒に行うことができます。

さまざまな認証情報を使用した水平展開

攻撃者は、侵害された認証を使用してネットワーク・アクセスを取得すると、複数の別の認証を使用して水平方向に移動しました。水平展開に利用される認証は、リモートアクセスに使用されるものとは異なります。

検知の機会

組織は、HXのLogonTrackerモジュールを使用して、すべてのログオン活動をグラフ化し、ソース・システムとアカウント間の1対多数の関係を表示することでシステムを分析できます。これにより、通常のビジネス運用では一般的ではない、複数のアカウントを持つ複数のシステムに対して認証される単一のシステムが見つかります。

一時ファイルの置換と一時タスクの変更

攻撃者は、一時的なファイル置換技術を使用してユーティリティをリモートで実行しました。正規のユーティリティをそれらのユーティリティに置き換え、ペイロードを実行してから元のファイルを復元しました。同様に、既存の正規タスクを更新してツールを実行し、スケジュールされたタスクを元の設定に戻すことによって、スケジュールされたタスクを操作しました。彼らは、正規リモートアクセスが達成された後にバックドアを取り除くなど、ツールを日常的に削除しました。

検知の機会

防御側は、SMBセッションのログを調べ、短時間で正規ディレクトリへのアクセス後に削除-作成-実行-削除-作成という動作が行われていたかを知ることができます。さらに、防御側は、タスクの異常な変更を識別するための頻度分析を使用して、一時的な更新について既存のスケジュールされたタスクを監視できます。また、新しいバイナリや不明なバイナリを実行する正当なWindowsタスクを監視することもできます。

このキャンペーンの侵害後の活動は、多くの場合、侵入のたびに専用インフラストラクチャを利用して、運用セキュリティに大きく関係する動きをしました。これは、FireEyeがサイバー攻撃で観測した最も高度な運用セキュリティであり、回避に焦点を当て、内在的な信頼を活用します。ただし、これは永続的な防御によって検出できるものです。

マルウェア解析の詳細

SolarWinds.Orion.Core.BusinessLayer.dll (b91ce2fa41029f6955bff20079468448) は、HTTPを介してサードパーティ・サーバーと通信する、難読化バックドアを含むOrionソフトウェア・フレームワークのSolarWinds署名プラグイン・コンポーネントです。最大2週間の休止期間後、「ジョブ」と呼ばれるコマンドを取得して実行します。このコマンドには、ファイルの転送と実行、システムのプロファイリング、システムサービスの無効化などの機能が含まれます。バックドアの行動とネットワーク・プロトコルは、Orion Improvement Program (OIP)プロトコルなどへの偽装やプラグイン設定ファイル内での調査結果の保存など、正規のSolarWinds活動に溶け込みます。バックドアは、複数のブロックリストを使用して、プロセス、サービス、およびドライバを介しフォレンジック・ツールとアンチウイルス・ツールを識別します。

固有の機能

  • Subdomain DomainName Generation Algorithm (DGA)は、DNSリクエストを変更するために実行されます。
    • CNAMEレスポンスは、マルウェアが接続するC2ドメインを指します。
    • 記録対応のIPブロックは、マルウェア・ビヘイビアーを制御します。
  • legitimate Orion Improvement Programとしてトラフィック偽装を実行及び制御します。
  • 偽の変数名を使用し、正規のコンポーネントに結びつけることで、コードは平易なサイトに隠します。

配布と導入

承認されたシステム管理者は、SolarWindsのWebサイトによって配布されたパッケージを介してSolarWinds Orionの更新をフェッチしてインストールします。アップデートパッケージCORE-2019.4.5220.20574-SolarWinds-Core-v2019.4.5220-Hotfix5.msp(02af7cec58b9a5da1c542b5a32151ba1)にはこのレポートで説明しているSolarWinds.Orion.Core.BusinessLayer.dll が含まれています。インストール後、Orionソフトウェア・フレームワークは、SolarWinds.Orion.Core.BusinessLayer.dll.を含む.NET program SolarWinds.BusinessLayerHost.exeのプライグインへのロードを実行します。このプラグインには、Orionフレームワーク内で機能を実装する多くの正当なネーム・プレイス、クラス、およびルーチンが含まれています。

SolarWinds.Orion.Core.BusinessLayer.dll はSolarWinds によって署名されており、証明書としてシリアル番号0f:e9:73:75:20:22:a6:06:ad:f2:a3:6e:34:5d:c0:ed が使われています。ファイルの署名日は2020年3月24日です。

初期化

マリシャスなSolarWinds.Orion.Core.BusinessLayer.OrionImprovementBusinessLaye.Initialize メソッドは実行時、サンプルの小文字のプロセス名が値17291806236368054941にハッシュすることを検証するという方法で初期化します。このハッシュ値は、FNV-1Aを計算した後、6605813339339102567とXORをとり標準のFNV-1A64ビットハッシュとして計算されます。このハッシュは、businesslayerhost.exeという名前の工程と一致します。

サンプルは、アセンブリのファイル・システム書き込み時間が、現在の時刻の少なくとも12~14日前である場合にのみ実行されます。正確なしきい値はランダムに選択されます。サンプルは、正規の繰り返しバックグラウンド・タスクによって実行されるため、この時間しきい値を引き続きチェックします。しきい値が満たされると、サンプルは、SolarWindsを読み取る前に1つのインスタンスのみがガードとして機能しているとして、SolarWinds.Orion.Core.BusinessLayer.dll.configをディスクから取得し、xmlフィールドからappSettingsを取得し、pipe 583da945-62af-10e8-4902-a8f205c72b2eという名前を生成します。appSettingsフィールドのキーは、悪意のあるロジックが永続的な設定として再利用するための正当な値です。サンプルの実行を続行するには、キーReportWatcherRetryを3以外の値にする必要があります。

サンプルは、マシンがドメインに参加していることを確認し、実行を続行する前にドメイン名を取得します。userIDは、ループバック・デバイスではなく稼働中のすべてのネットワーク・インターフェイスMACアドレス、ドメイン名、レジストリ値HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MachineGuidのMD5を計算することによって生成されます。userIDは、MD5が計算された後、カスタムXORスキームを介してエンコードされます。その後、appSettingsのReportWatcherPostponeキーがSolarWinds.Orion.Core.BusinessLayer.dll.confiから読み取られ、最初の正当な値を取得します。この操作は、サンプルの後のビットがこのフィールドにフラグをパックするときに実行され、ビットフラグを読み出すためには初期値がわかっている必要があります。サンプルは、サンプルのコアイベントループであるUpdateメソッドを呼び出します。

DGAとブロックリスト

バックドアは、avsvmcloud[.]comのサブドメインを構築して解決するためにDomain Generation Algorithm (DGA) を使用してC2サーバーを決定します。アップデート方法は、これらのランダムなC2サブドメインの世代のために暗号化ヘルパーを初期化する役割を担います。これらのサブドメインは、解決するホスト名を作成するために、次のいずれかと連結されます:

  • .appsync-api.eu-west-1[.]avsvmcloud[.]com
  • .appsync-api.us-west-2[.]avsvmcloud[.]com
  • .appsync-api.us-east-1[.]avsvmcloud[.]com
  • .appsync-api.us-east-2[.]avsvmcloud[.]com

バックドアは、avsvmcloud[.]comのサブドメインを構築して解決するためにDomain Generation Algorithm (DGA) を使用してC2サーバーを決定します。アップデート方法は、これらのランダムなC2サブドメインの世代のために暗号化ヘルパーを初期化する役割を担います。これらのサブドメインは、解決するホスト名を作成するために、次のいずれかと連結されます:

ネットワークコマンドと制御(C2)

すべてのブロックリストと接続確認をパスすると、サンプルはDGA経由のwhileループでドメインの生成を開始します。サンプルは、ドメインのランダムな間隔を遅延します。この間隔は、1~3分、30~120分、またはエラー状態で最大420~540分(9時間)と、任意のランダムな値です。生成されたドメインのDNS Aレコードは、マルウェアの行動を制御するため、IPアドレスブロックのハードコードされたリストに対してチェックされます。次のIPレンジ内に含まれる場合は、マルウェアを終了し、設定キーReportWatcherRetryを実行しないように値に更新します:

  • 10.0.0.0/8
  • 172.16.0.0/12
  • 192.168.0.0/16
  • 224.0.0.0/3
  • fc00:: - fe00::
  • fec0:: - ffc0::
  • ff00:: - ff00::
  • 20.140.0.0/15
  • 96.31.172.0/24
  • 131.228.12.0/22
  • 144.86.226.0/24

ドメインがCNAME DNSレスポンスで正常に取得されると、サンプルは手法HttpHelperを呼び出す新しいスレッドを生成します。Initializeは、すべてのC2コミュニケーションとディスパッチを担当します。HTTPスレッドは、SetTimeコマンドで制御される設定可能な時間だけ遅延することで開始されます。HTTPスレッドは、コールアウト間に最小1分間遅延します。マルウェアは、データが要求されるとHTTP GETまたはHEAD要求を使用し、C2出力データがサーバーに送信されるとHTTP PUTまたはHTTP POST要求を使用します。PUTメソッドは、ペイロードが10000バイト未満の場合に使用されます。それ以外の場合はPOSTが使用されます。If-None-Match HTTPヘッダーは、前に計算されたuserIDのXORエンコード表現として値として保持され、同じ長さのバイトのランダム配列が追加されます。

JSONペイロードは、すべてのHTTP POSTおよびPUT要請に存在し、キー"userId"、"sessionId"、"steps"が含まれています。"steps"分野には、"Timestamp"、"Index"、"EventName"、"DurationMs"、"Succeeded"、"Message"というキーを持つオブジェクトのリストが含まれています。JSONキー"EventType"は値"Orion"にハードコードされ、"EventName"は"EventManager"にハードコードされています。サーバーに送信するマルウェア対応メッセージはDEFLATE圧縮され、シングルバイトXORでエンコードされてから、"steps"配列の"Message"分野に分割されています。各"Message"値はBase64でエンコードされています。"steps"配列のすべてのオブジェクトがマルウェアメッセージに寄与するわけではありません-"Timestamp"分野の整数は0x2ビットタイムスタンプフィールドのビット0x2がクリアされているステップオブジェクトには、ランダムデータが含まれており、マルウェア対応のアセンブル時に破棄されます。

ステガノグラフィー

観測されたトラフィックでは、これらのHTTP対応ボディは.NETアセンブリに関連する良性のXMLのように見せようとしますが、コマンドデータは実際には多数のGUIDおよび16進文字列に分散されています。HTTPレスポンス本体からコマンドを抽出するには、次の正規表現を使用して16進文字列を検索します。"\{[0-9a-f-]{36}"|"[0-9a-f]{32}"|"[0-9a-f]{16}"。コマンドデータは、GUIDおよび16進文字列として偽装された複数の文字列に分散されます。対応内の一致するすべての部分文字列は、非16進文字に対してフィルタリングされ、結合され、16進デコードされます。最初のDWORD値は、メッセージの実際のサイズを示し、メッセージの直後にオプションの追加ジャンクバイトが続きます。抽出されたメッセージは、メッセージの最初のバイトを使用してシングルバイトXORデコードされ、その後DEFLATEで解凍されます。最初の文字はJobEngine enumにマップされるASCII整数で、オプションの追加コマンド引数は空白文字で区切られます。

コマンドは、次に説明するコマンド値に基づいてJobExecutionEngineにディスパッチされます。

対応コマンド

コマンド

オペレーション

Idle

0

操作なし(NOP)

Exit

1

現在のスレッドを終了します。

SetTime

2

メインイベントループ実行間の遅延時間Delayを秒単位で設定し、[.9*<delay>,1.1*<delay>]の間でランダムに変化させます。遅延が300未満の場合、ループの次の実行時を2倍の値にします。これは、遅延を約[5,10]分の間隔に収める必要があることを意味します。これとは別にイベントループ実行とは関係しない[16hrs,83hrs] の間のランダムな間隔を遅延する、ルーチンがあります。

CollectSystemDescription

3

ホストネーム、ユーザーネーム、OS版、MACアドレス、IPアドレス、DHCP構成、ドメイン情報を含むローカルシステムのプロフィール。

UploadSystemDescription

4

指定したURLにHTTPリクエストを実行し、結果をパースし、未知のハッシュド値とコンポーネントを比較します。レポートをフォーマットし、C2サーバーに送信します。

RunTask

5

指定したファイルパスと引数を使用して新しいプロセスを開始します。

GetProcessByDescription

6

プロセスのリストを返します。引数が指定されていない場合は、PIDとプロセス名のみが返されます。引数が指定されている場合は、プロセス所有者の親PIDとユーザ名およびドメインも返されます。

 

KillTask

7

指定されたプロセスをPIDで終了します。

GetFileSystemEntries

8

パスとオプションのマッチパターンを指定すると、ファイルとディレクトリが再帰的にリストされます。

WriteFile

9

ファイルパスとBase64でエンコードされた文字列を指定すると、Base64でデコードされた文字列の内容が指定されたファイルパスに書き込まれます。追加モードを使用して書き込みます。書き込み後の[1s,2s]の遅延。

FileExists

10

指定されたファイルパスが存在するかどうかをテストします。

DeleteFile

11

指定したファイルパスを削除します。

GetFileHash

12

指定されたパスでファイルのMD5を計算し、結果を16進文字列として返します。引数が指定されている場合は、ファイルの予想されるMD5ハッシュであり、計算されたMD5が異なる場合はエラーを返します。

 

ReadRegistryValue

13

サポートされているハイブから任意のレジストリを読み込みます。

SetRegistryValue

14

サポートされているハイブから任意のレジストリを読み込みます。

DeleteRegistryValue

15

サポートされているハイブから任意のレジストリを削除します。

GetRegistrySubKeyAndValueNames

 

16

指定したレジストリパスの下にあるサブキーと値の名称の一覧を返します。

Reboot

17

システムの再起動をただちに実行します。

コミュニティーを支援するインディケーターと検知方法

このサプライ・チェーン・バックドアをコミュニティーが検出できるように、このバックドアとこの攻撃グループの特定に役立つ指標と検知を公開しています。シグネチャは、Yara、IOC、およびSnort形式が混在しています。

検知とシグネチャの一覧は、FireEye GitHubリポジトリーで入手できます。私たちは検知をリリースしており、ホストベースとネットワークベースの指標の検知が重複している公開リポジトリーを、新しいものを開発したり、既存のものを改良したりしながら、引き続きアップデートします。このバックドアで複数のハッシュを見つけて、それらのハッシュのアップデートをポストします。

観測されたMITRE ATT&CK技術

ID

説明

T1012

クエリレジストリ

T1027

難読化されたファイルまたは情報

T1057

プロセス検出

T1070.004

ファイルの削除

T1071.001

Webプロトコル

T1071.004

アプリケーション層プロトコル:DNS

T1083

ファイルとディレクトリの検出

T1105

イングレスツール転送

T1132.001

標準エンコーディング

T1195.002

ソフトウェアサプライチェーンを侵害します

T1518

ソフトウェア検出

T1518.001

セキュリティソフトウェアの検出

T1543.003

Windowsサービス

T1553.002

コード署名

T1568.002

ドメイン生成アルゴリズム

T1569.002

サービス実行

T1584

インフラストラクチャの侵害

緊急緩和策の推奨事項

SolarWindsは、Orion Platform release 2020.2.1 HF 1にすぐにアップグレードすることをお勧めします。このリリースは、現在SolarWinds Customer Portalから入手できます。さらに、SolarWindsは、こちらで追加の軽減と強化の指示をリリースしました。

SolarWindsの推奨事項に従うことができない場合、環境でのトロイの木馬化したSolarWindsソフトウェアのリスクに対処するための最初のステップとして配備可能な、以下の緊急緩和技術があります。環境内で攻撃者な活動が発見された場合は、調査結果と影響を受ける環境の詳細に基づいて、包括的な調査を実施し、復旧対策戦略を設計および実行することをお勧めします。

  • SolarWindsサーバーは、さらに検討および調査が行われるまで分離もしくは隔離するようにしてください。これには、SolarWindsサーバーからのすべてのインターネット出力をブロックすることも含まれます。
  • SolarWindsインフラストラクチャが隔離されていない場合は、次の手順を実行することを検討してください:
    • SolarWindsサーバーからのエンドポイントへの接続範囲の制限、特にTier0/重要資産と見なされるエンドポイント
    • SolarWindsサーバーでローカル管理者権限を持つアカウントの範囲を制限します。
    • SolarWindsソフトウェアを使用して、サーバーまたはその他のエンドポイントからのインターネット出力をブロックします。
  • SolarWindsサーバー/インフラストラクチャーにアクセスできるアカウントのパスワードを(少なくとも)変更することを検討してください。さらなる審査/調査に基づき、追加の復旧対策対策が必要となる場合があります。
  • SolarWindsを管理対象ネットワークインフラストラクチャに使用する場合は、予期しない/不正な変更がないか、ネットワークデバイス構成を確認することを検討してください。これは、調査結果に基づくものではなく、SolarWindsの機能範囲に起因する予防措置です。

謝辞

このブログの記事は、FireEye社内の多くのメンバの協力によって投稿されました。

Andrew Archer, Doug Bienstock, Chris DiGiamo, Glenn Edwards, Nick Hornick, Alex Pennino, Andrew Rector, Scott Runnels, Eric Scales, Nalani Fraser, Sarah Jones, John Hultquist, Ben Read, Jon Leathery, Fred House, Dileep Jallepalli, Michael Sikorski, Stephen Eckels, William Ballenthin, Jay Smith, Alex Berry, Nick Richard, Isif Ibrahima, Dan Perez, Marcin Siedlarz, Ben Withnell, Barry Vengerik, Nicole Oppenheim, Ian Ahl, Andrew Thompson, Matt Dunwoody, Evan Reese, Steve Miller, Alyssa Rahman, John Gorman, Lennard Galang, Dileep Jallepalli, Fred House, Steve Stone, Nick Bennett, Matthew McWhirt, Mike Burns, Omer Baig

また、Microsoft社のNick Carr氏、Christopher Glyer氏、Ramin Nafisi氏にも感謝いたします。

 

本ブログは、米FireEyeが公開した December 13, 2020「Highly Evasive Attacker Leverages SolarWinds Supply Chain to Compromise Multiple Global Victims With SUNBURST Backdoor」(英語)の日本語抄訳版です。

日本語版:Reviewed by Noriko Yokokawa, Toru Tanimura